Autorizzazione binaria per Google Distributed Cloud è una funzionalità Google Cloud che estende l'applicazione ospitata e in fase di deployment di Autorizzazione binaria ai tuoi cluster utente on-premise. Il caso d'uso principale per l'autorizzazione binaria su Google Distributed Cloud è proteggere i carichi di lavoro sui cluster utente. Segui i passaggi di questa guida per applicare le regole di applicazione di un criterio di autorizzazione binaria configurato nel tuo progetto Google Cloud ai tuoi cluster utente. Per ulteriori informazioni su regole e criteri di Autorizzazione binaria, consulta Panoramica di Autorizzazione binaria.
Prerequisiti
Prima di poter attivare l'applicazione del criterio di autorizzazione binaria per un cluster utente, assicurati di aver soddisfatto i seguenti criteri preliminari:
Registra il cluster in un parco risorse:per un cluster creato con
gkectl, il cluster viene registrato nel progetto Google Cloud specificato nel campogkeConnect.projectIDdel file di configurazione del cluster. Questo progetto è denominato progetto host del parco risorse. Per saperne di più sui parchi risorse, inclusi casi d'uso, best practice ed esempi, consulta la documentazione Gestione del parco risorse.Abilita l'API Binary Authorization nel tuo progetto Google Cloud : abilita Autorizzazione binaria Authorization nel progetto host del parco progetti.
Aggiungi il ruolo Valutatore criterio di autorizzazione binaria al progetto host del parco risorse:per concedere il ruolo Valutatore criterio di autorizzazione binaria (
roles/binaryauthorization.policyEvaluator) al service account Kubernetes nel progetto host del parco risorse, esegui questo comando:gcloud projects add-iam-policy-binding PROJECT_ID \ --member="serviceAccount:PROJECT_ID.svc.id.goog[binauthz-system/binauthz-agent]" \ --role="roles/binaryauthorization.policyEvaluator"Se il cluster viene eseguito dietro un server proxy, assicurati che il server proxy consenta le connessioni all'API Binary Authorization (
binaryauthorization.googleapis.com). Questa API fornisce la convalida e il controllo del deployment basati su criteri per le immagini di cui è stato eseguito il deployment nel cluster. Per maggiori informazioni, vedi Proxy e regole firewall proxy.
Una volta soddisfatti i prerequisiti, puoi attivare (o disattivare) il criterio Autorizzazione binarian quando crei un nuovo cluster o aggiorni un cluster esistente.
Abilitare il criterio di Autorizzazione binaria durante la creazione del cluster
Puoi abilitare l'applicazione dei criteri di Autorizzazione binaria con gkectl
o gcloud CLI.
gkectl
Per abilitare Autorizzazione binaria quando crei un cluster con gkectl:
Prima di creare il cluster, aggiungi
binaryAuthorization.evaluationModeal file di configurazione del cluster utente come mostrato nell'esempio seguente:... binaryAuthorization: evaluationMode: "project_singleton_policy_enforce" ...I valori consentiti per
evaluationModesono:project_singleton_policy_enforce: applica le regole specificate nella policy di Autorizzazione binaria, nota anche come policy singleton di progetto, al tuo progetto Google Cloud per controllare il deployment delle immagini container sul tuo cluster.disabled: disabilita l'utilizzo di Autorizzazione binaria per il tuo cluster. Questo è il valore predefinito. Se omettibinaryAuthorization, la funzionalità viene disattivata.
Apporta le altre modifiche necessarie al file di configurazione del cluster, quindi esegui il comando
gkectl create cluster.
Per saperne di più sulla creazione di cluster, consulta Panoramica dell'installazione di Google Distributed Cloud.
Abilitare o disabilitare il criterio di Autorizzazione binaria per un cluster esistente
Se hai un cluster esistente versione 1.28 o successive, puoi attivare o
disattivare Autorizzazione binaria in qualsiasi momento utilizzando gkectl o
gcloud CLI.
gkectl
Per attivare:
Modifica il file di configurazione del cluster per aggiungere i campi
binaryAuthorization:... binaryAuthorization: evaluationMode: "project_singleton_policy_enforce"Aggiorna il cluster:
gkectl update cluster \ --kubeconfig ADMIN_CLUSTER_KUBECONFIG \ --config USER_CLUSTER_CONFIG_FILE \ --force
Sostituisci quanto segue:
ADMIN_CLUSTER_KUBECONFIG: il percorso del file kubeconfig del cluster di amministrazioneUSER_CLUSTER_CONFIG_FILE: il percorso del file di configurazione del cluster utente.
Attendi che il deployment denominato
binauthz-module-deploymentnello spazio dei nomibinauthz-systemsia pronto.Quando il deployment è pronto, Autorizzazione binaria applica le regole specificate nel criterio di Autorizzazione binaria, noto anche come criterio singleton del progetto. Queste norme sono associate al tuo progettoGoogle Cloud e specificano le regole che regolano il deployment delle immagini container. Per saperne di più sull'utilizzo di
gkectlper aggiornare un cluster, vedi Aggiornare i cluster. Per ulteriori informazioni sulle norme e sulle regole di Autorizzazione binaria, consulta la panoramica di Autorizzazione binaria.
Per disattivare la funzionalità:
Modifica il file di configurazione del cluster e rimuovi la sezione
binaryAuthorizationo impostaevaluationModesudisabled.... binaryAuthorization: evaluationMode: "disabled"Aggiorna il cluster:
gkectl update cluster \ --kubeconfig ADMIN_CLUSTER_KUBECONFIG \ --config USER_CLUSTER_CONFIG_FILE \ --force
Dopo aver apportato questa modifica, attendi alcuni minuti finché il deployment denominato
binauthz-module-deploymentnello spazio dei nomibinauthz-systemnon viene rimosso.
Risoluzione dei problemi
Se non completi tutti i prerequisiti, potresti visualizzare un messaggio come il seguente, che indica che si è verificato un problema con la configurazione diAutorizzazione binarian:
failed to validate Binary Authorization policy (1) Ensure the Binary Authorization API is enabled for your Google Cloud project: gcloud services enable binaryauthorization.googleapis.com --project=PROJECT_ID (2) Ensure an IAM policy binding is in place granting binaryauthorization.policyEvaluator role to the binauthz-system/binauthz-agent Kubernetes service account: gcloud projects add-iam-policy-binding PROJECT_ID \ --member="serviceAccount:PROJECT_ID.svc.id.goog[binauthz-system/binauthz-agent]" \ --role=roles/binaryauthorization.policyEvaluator